Máy Mac dính lỗ hổng quyền riêng tư, Apple bị chỉ trích chỉ biết nói suông

Tấn Minh10:57 01/07/2020

Khi Apple công bố chương trình Security Bounty vào năm ngoái, các nhà nghiên cứu đã đổ xô tham gia một cuộc săn lùng những lỗ hổng nguy hiểm tiềm tàng, sau đó giữ bí mật về chúng để đổi lấy những khoản tiền thưởng khổng lồ.

Nhà phát triển Jeff Johnson đã nhanh chóng tiết lộ cho Apple biết về một lỗ hổng zero-day, vốn cho phép hacker truy xuất đến các tập tin riêng tư của người dùng trong trình duyệt web Safari – một vấn đề ảnh hưởng đến cả phiên bản beta của macOS Big Sur. Nhưng anh khẳng định rằng đã hơn 6 tháng trôi qua mà công ty vẫn chưa chịu vá lỗ hổng này, khiến bản thân phải từ bỏ chương trình săn tiền thưởng nói trên và chỉ trích những nỗ lực của công ty chẳng khác gì những lời nói suông.

Lỗ hổng mà Johnson phát hiện ra khá nghiêm trọng: một người dùng Safari khi bị dụ dỗ tải về một tập tin có vẻ an toàn từ một website nào đó có thể sẽ vô tình mở cánh cửa để kẻ tấn công xâm nhập máy tính và tạo ra một bản sao đã bị chỉnh sửa của Safari, và macOS xem bản sao này như ứng dụng nguyên gốc. “ Bất kỳ tập tin bị giới hạn nào mà Safari truy cập được” cũng sẽ được truy cập bởi kẻ tấn công, kẻ này có thể ra lệnh tự động chuyển những tập tin lẽ ra phải được bảo vệ về máy chủ của hắn.

Theo lời giải thích của Johnson, lỗ hổng này tồn tại là bởi hệ thống bảo vệ quyền riêng tư Transparency, Consent, and Control (TCC) của Apple cho phép những ngoại lệ mà chỉ xem xét mã định danh của ứng dụng chứ không phải xuất xứ của tập tin đang chạy, và “ chỉ kiểm tra hời hợt chữ ký trong mã của ứng dụng“. Hậu quả là, một bản sao đã bị chỉnh sửa của Safari có thể được chạy từ một thư mục không đúng với thư mục gốc nhưng vẫn không làm kinh động đến hệ thống bảo vệ TCC, một vấn đề tồn tại từ macOS 10.14 (Mojave), 10.15 (Catalina) và 11 (Big Sur), khiến hàng triệu người tiêu dùng và các doanh nghiệp đứng trước nguy cơ bị chia sẻ bất hợp pháp những dữ liệu riêng tư lẽ ra phải được bảo mật của họ.

Video đang HOT

Ngoài lỗ hổng nói trên, Johnson nhấn mạnh rằng những phản hồi rời rạc của Apple khiến anh nghi ngờ về tốc độ lẫn khả năng được trả thưởng từ chương trình Security Bounty. Đã báo cáo lỗ hổng vào tháng 12/2019, ngay trong ngày công ty mở chương trình Bounty, Johnson nhận được một lời xác nhận rằng Apple đang lên kế hoạch giải quyết vấn đề, nhưng đến cuối tháng 6/2020, chẳng có chuyện gì xảy ra cả. Quãng thời gian này đã vượt qua giới hạn 90 ngày không công khai lỗ hổng – theo lời Johnson – và đó cũng là lần thứ hai anh trải qua tình huống này. “Mọi việc trở nên hiển nhiên rằng tôi sẽ không bao giờ được trả món tiền thưởng từ Apple cho bất kỳ thứ gì tôi báo cáo cho họ, hoặc ít nhất là trong một khoảng thời gian chấp nhận được“.

Những lời than phiền về tốc độ phản hồi chậm chạp của Apple đối với các bản báo cáo lỗ hổng zero-day đã xuất hiện từ trước chương trình Security Bounty, trong đó có cả những lần trao đổi qua lại giữa Apple và nhóm bảo mật Project Zero của Google. Câu chuyện của Johnson về việc Apple chậm phản hồi và quá trình thanh toán mập mờ chắc chắn không phải là câu chuyện duy nhất, nhưng đi kèm với nó là lời cảnh báo đến mọi người dùng rằng “ các biện pháp bảo vệ quyền riêng tư trên macOS chủ yếu chỉ là nói suông“, gây nguy hiểm cho các nhà phát triển Mac hợp pháp đồng thời tạo điều kiện cho những kẻ có mưu đồ xấu xa lách qua những kẽ hở. “ Bạn có quyền biết được các hệ thống mình đang dựa vào để có sự bảo vệ thực ra không bảo vệ bạn” – Johnson nói, tiết lộ thêm rằng mặc cho những khẳng định trái ngược, “ tính bảo mật ngày càng kém của Apple trên máy Mac không thể được biện minh bằng những lợi ích về quyền riêng tư và bảo mật“.

Hôm qua, Apple nói với Johnson rằng công ty vẫn đang điều tra về lỗ hổng. Liệu Apple có vá lỗ hổng trong bản beta của Big Sur, vốn tập trung nhiều vào những cải tiến đối với Safari và các phiên bản trước đó của nó.

iOS 14 vừa mới ra mắt đã bị bẻ khóa

iOS 14 tiếp tục là "nạn nhân" của lỗ hổng bảo mật mà Apple không thể vá.

Apple tại sự kiện WWDC 2020 tổ chức hôm 22/6 vừa qua đã chính thức công bố hệ điều hành iOS 14 và iPadOS 14 mới dành cho các thiết bị iPhone, iPad và iPod touch. Phiên bản iOS mới sẽ hỗ trợ toàn bộ các thiết bị chạy trên iOS 13, tức là các thiết bị từ iPhone 6s và iPad Air 2 trở lên sẽ được hỗ trợ cập nhật lên iOS 14 mới.

Ngay sau sự kiện WWDC 2020, người dùng đã có thể cập nhật lên iOS 14 phiên bản Public Beta được rò rỉ thông qua một tệp cấu hình. Và chỉ một ngày sau đó, tài khoản Twitter của team lập trình viên Checkra1n đã đăng tải một bài đăng thông báo họ đã có thể bẻ khóa thành công iOS 14 mới nhất, kèm theo đó là một ảnh chụp màn hình.

Ảnh chụp màn hình cho thấy iOS 14 đã bị jailbreak thành công

Trong ảnh chụp màn hình được team Checkra1n chia sẻ, chúng ta có thể thấy giao diện App Library của iOS 14, kèm theo đó là một thư mục có chứa ứng dụng Cydia, ứng dụng quen thuộc đối với bất cứ iFan nào thích vọc vạch jailbreak máy. Điều này có nghĩa là iOS 14 (ít nhất là Public Beta 1) đã chính thức bị bẻ khóa thành công.

Thực chất, công cụ jailbreak Checkra1n sử dụng một lỗ hổng mà Apple không thể vá có trong bootrom của các thiết bị từ iPhone 4s tới iPhone X. Với lỗ hổng này thì dù Apple có tung ra bao nhiêu phiên bản iOS đi chăng nữa thì cũng không thể ngăn chặn các hacker jailbreak máy. Chính vì vậy việc iOS 14 đã bị bẻ khóa thành công cũng không khiến nhiều người dùng quá bất ngờ, tất nhiên là việc bẻ khóa sẽ bị giới hạn trên các thiết bị chạy chip Apple A5 tới A11.

Phiên bản iOS 13.5.1 được Apple phát hành trước đó đã vá lỗ hổng tfp0 được các hacker unc0ver lợi dụng để bẻ khóa các thiết bị iPhone chạy iOS 13. Không giống như Checkra1n, công cụ unc0ver không khai thác lỗ hổng bootrom để jailbreak máy, do đó các thiết bị từ iPhone Xs trở lên đều có thể jailbreak được bằng công cụ này.

checkra1n và unc0ver là hai công cụ jailbreak phổ biến nhất hiện nay

Ở thời điểm hiện tại, nhóm hacker Checkra1n không công bố công cụ bẻ khóa iOS 14 cho các thiết bị iPhone X trở xuống, rất có thể họ đang đợi cho tới khi Apple phát hành chính thức phiên bản iOS này vào mua thu rồi mới tung ra công cụ jailbreak. Nếu bạn muốn tùy chỉnh sâu vào thiết bị iPhone/iPad của bạn, hãy hạ cấp về iOS 13.

iOS 13.5.1 phát hành, khắc phục lỗ hổng jailbreak Apple đã vá một lỗ hổng bảo mật cho phép tin tặc xây dựng công cụ bẻ khóa (jailbreak) để truy cập sâu vào phần mềm iPhone. iOS 13.5.1 khiến công cụ jailbreak của Un0ver trở nên vô dụng Theo TechCrunch, Apple thừa nhận họ đã sửa lỗ hổng zero-day giúp nhóm Un0ver cung cấp công cụ bẻ khóa vào tuần trước, bao...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Độc lạ 'vua hài' Xuân Hinh rap, Hòa Minzy 'gây bão' triệu view04:19

Vụ ngoại tình hot nhất MXH hôm nay: Bỏ 400 triệu đồng giúp chồng làm ăn, vợ mở camera phát hiện sự thật đau lòng00:57

Video sốc: Chụp ảnh check in, thanh niên 20 tuổi bất ngờ bị sóng "nuốt gọn" ngay trước mắt bạn bè00:31

Vì sao Văn Toàn dễ dàng cho Hoà Minzy vay 4 tỷ nhưng lần thứ hai cô bạn thân hỏi vay tiếp thì say "No"?00:44

Về Ninh Thuận gặp ông bà ngoại bé Bắp giữa ồn ào 16,7 tỷ đồng từ thiện: "Con tôi nhỡ miệng, mong cô chú tha thứ cho nó"04:58

"Búp bê lì lợm" của Vpop cover bài nào phá bài nấy, cách làm nhạc như mắc kẹt ở thập niên 200004:04

Người đàn ông không rời mắt khỏi Mỹ Tâm01:04

Đan Trường tỏ tình trực tiếp: "Mỹ Tâm là người tình trong mộng của anh"03:44

Tin đang nóng

Tin mới nhất

Các 'siêu phẩm' điện thoại sẽ gây bão trong năm 2023

21:01:27 21/12/2022

Chỉ còn hơn 1 tuần nữa là năm 2022 sẽ khép lại, giới công nghệ lại tiếp tục chờ đợi về những siêu phẩm sẽ gây bão trong ngành công nghiệp điện thoại thông minh vào năm 2023

Apple sản xuất MacBook ở Việt Nam giữa năm 2023 sau AirPods, Apple Watch, iPad

18:01:45 21/12/2022

Apple lên kế hoạch lần đầu chuyển một số hoạt động sản xuất MacBook sang Việt Nam vào năm 2023. Động thái này diễn ra khi Apple tiếp tục đa dạng hóa cơ sở sản xuất khỏi Trung Quốc trong bối cảnh căng thẳng công nghệ Mỹ - Trung leo thang

Vì sao ngày càng nhiều người mua thiết bị Apple tân trang?

17:01:45 21/12/2022

Mua thiết bị Apple tân trang hoặc đã qua sử dụng đang ngày càng được nhiều người lựa chọn như là biện pháp tiết kiệm chi tiêu và tiếp cận các sản phẩm mới

Cách Samsung dần khiến Galaxy Z Flip4 trở nên gần gũi hơn với giới trẻ

16:01:41 21/12/2022

Độc đáo, bắt trend nhanh và cho phép tùy biến mọi thứ theo cá tính, còn ai hiểu và chiều giới trẻ hơn Galaxy Z Flip4?

MacBook Air M1 chỉ còn 21,79 triệu đồng

09:44:41 21/12/2022

Cuối năm, MacBook Air M1 tiếp tục giảm về mức giá rẻ nhất từ trước đến nay, tiếp tục giảm đến 500.000 đồng so với cuối tháng 11, nâng tổng mức giảm lên đến 7 triệu đồng so với giá niêm yết

Không muốn laptop hỏng khi bị đổ nước vào, đây là dòng máy mà bạn cần

09:39:44 21/12/2022

Laptop khi bị đổ nước vào thường sẽ có tỷ lệ hỏng hóc rất cao. Vậy liệu có giải pháp nào cho vấn đề này không? Hiện nay, kháng nước đã trở thành tính năng không thể thiếu trên smartphone, đặc biệt là các dòng máy cao cấp. Tuy nhiên, tín...

OPPO Find N2 Flip sẽ sớm có mặt tại Việt Nam

09:36:32 21/12/2022

OPPO đã tung ra một chiếc smartphone màn hình gập mới có tên Find N2 Flip, là chiếc smartphone gập hoàn toàn mới. Sự xuất hiện của Find N2 Flip mang tới cho người dùng một sự lựa chọn smartphone gập bên cạnh các thương hiệu khác

Smartphone mạnh bậc nhất thế giới, sạc 80W,màn hình 144Hz, giá rẻ bất ngờ

09:32:23 21/12/2022

ZTE Nubia Z50 sở hữu hàng loạt ưu điểm nổi bật nhưng giá bán chỉ từ 2.999 Nhân dân tệ (tương đương 10,19 triệu đồng)

Ảnh chi tiết Vivo Y02: Pin 5.000 mAh, RAM 23 GB, giá 2,79 triệu đồng tại Việt Nam

09:31:11 21/12/2022

Vivo Y02 có giá bán 2,79 triệu đồng ở thị trường Việt Nam. Máy có ưu điểm gì để so kè với Xiaomi Redmi 10A, Nokia G11 Plus. Samsung Galaxy A04?

Apple có thể sản xuất Mac Pro tại Việt Nam

09:29:20 21/12/2022

Phiên bản mới của Mac Pro - máy tính cao cấp nhất của Apple - dự kiến được chuyển nhà máy sản xuất từ Mỹ sang Việt Nam

Công bố ngày ra mắt chính thức OnePlus 11

09:18:27 21/12/2022

Kết thúc năm 2022, mùa ra mắt điện thoại thông minh năm 2023 sắp bắt đầu. Theo thông báo mới nhất, OnePlus 11 sẽ là thiết bị đầu tiên được phát hành vào năm 2023

Oppo ra bộ đôi smartphone gập Find N2

09:51:00 20/12/2022

Find N2 Flip là chiếc smartphone màn hình gập vỏ sò đầu tiên của Oppo. Về thiết kế, Find N2 Flip sử dụng chung kiểu dáng màn hình gập linh hoạt dạng vỏ sò , giống với Galaxy Z Flip4, RAZR 2022 hay Huawei P50 Pocket... Máy có mặt lưng ho...